安全運維管理平臺之精髓不得不看!
下面的文章主要介紹的是安全運維管理平臺之精髓,你如果對安全運維管理平臺之精髓有興趣的話,不妨看看以下的文章。面對品牌與種類各異的安全設備與眾多業務系統,海量數據如何做到全面采集與統一轉換?
這個關鍵性的一步需要通過應用信息資源轉換和海量異構數據集成技術來實現。
資產管理是信息安全風險管理的重要基礎,它建立了統一的分析平臺判斷依據,從根本上解決了傳統威脅事件管理的不足。針對系統服務平臺應用特點,它將主機、網絡、系統、安全、流量與應用系統健康度監控統一納入到安全運維管理平臺的工作內容中,并按照信息系統所屬類型、業務信息所屬類型、信息系統服務類型、業務系統依賴程度來定義不同的資產價值。
安全運維管理平臺的運作基礎是統一的信息安全庫,它也是完整地收錄各種系統資產信息建立關聯分析與權責工單的分析基礎。這種信息的采集不應只局限在安全設備層面,而應通過多種協議手段盡可能多地采集IT系統各個層面中的系統資源數據。
隨著IT基礎設施種類的增加、品牌的擴充,及信息安全技術的逐步發展,信息安全庫的內容也日漸豐富,越來越復雜。面對品牌與種類各異的安全設備和眾多業務系統,海量數據如何做到全面采集與統一轉換?這個關鍵性的一步需要通過應用信息資源轉換和海量異構數據集成技術來實現。
應用信息資源轉換技術
實現應用信息資源轉換首先要從不同品牌的IT基礎設施中收集原始的日志全集(也稱為原始信息安全庫),然后進行統一的轉換和解析,并保存到安全運維管理平臺統一的信息知識庫中。不同品牌的IT基礎設施輸出原始信息安全庫的方式各有不同,根據目前的研究,至少包括MIB庫形式、XML格式文件、文本文件方式和數據庫文件形式等。針對不同形式的原始信息安全庫輸出,信息資源轉換技術和系統分別設計單獨的模塊進行資源轉換,具體遵從如下步驟:
1. 針對每種原始信息安全庫的輸出,根據廠商提供的輸出格式,信息資源轉換技術和系統設計信息安全庫識別模塊從原始信息安全庫讀取所有內容;
2. 將讀取后的內容按照安全運維管理平臺規定的安全信息接口規范進行逐一轉換;
3. 對轉換后的內容按照安全事件的基本類型進行歸類,再按照子類型進行細分;
4. 將歸類后的內容存放在平臺的統一信息安全庫中。
海量異構數據集成技術
海量異構數據集成是數據采集過程中最為重要的技術。異構數據集成采用XML這種標準、開放的數據結構來表示數據信息。XML是一種半結構化的數據模型,它具備的諸多特性使其可以描述不規則的數據,集成來自不同數據源的數據,并可以將多個應用程序所生成的數據納入同一個XML文件中。因此,將XML作為集成系統中集成層的數據描述工具和轉換工具是海量異構數據集成技術和系統的必然選擇。
海量異構數據集成技術和系統的實現路線如圖所示。在此模型中,用戶對信息的訪問、操作并不是直接作用于數據源,而是通過訪問虛擬數據庫接口實現的。此結構分為三層:
(1)數據源層 :負責提供包括以各種方式獲取的系統數據。
(2)通信層:完成各類數據源與XML 數據模型的轉換。將數據存儲到集成模式空間中,并維持集成模式空間與異構數據源之間的映射。
(3)集成層:通信層統一格式的易于通信的數據借助于元數據字典,集成為統一視圖。虛擬數據庫的建立過程是針對所有數據源數據模式的抽取過程,它將各應用系統數據庫中的不同數據表示成形式統一的數據視圖。
上層(接口層)針對虛擬數據庫進行,與具體應用數據庫無關,因此能夠將采用目前流行、成熟的軟件構件方法開發的構件集成到任意一個應用系統中, 具有構件集成簡單、與數據庫聯系緊密等特點。另外,集成存取處理模塊可以用來實現對異構數據的存取、查詢等功能。
通信層主要完成XML數據模型與數據源的雙向轉換。用XML描述集成數據,用XML 文檔和格式文件DTD表示集成模式與數據源之間的映射。XML數據模型與數據庫的轉換主要體現在XML 的DTD 和數據庫數據模型的相互轉換上。從DTD 轉換到數據庫模型的原理如下:
1. 從DTD 生成一個關系模式,并在此基礎上建立關系數據庫;
2. 對DTD 中的每一個元素,產生關系數據庫的一個表和一個主鍵列;
3. 對每一個有混合內容的元素,產生一個獨立的表,用來存儲PCDATA,并通過父表的主鍵與父表相連;
4. 對元素類型中的每一個單一值的屬性,即對只具有PCDATA內容的按順序出現的子元素產生一個單獨列;
5. 對有多個值的屬性和可以出現多次的PCDATA類子元素,需要創建一個單獨的表來存儲這些值,并通過父表的主鍵與父表相連;
6. 對每一個包含元素或混合內容的子元素來說,通過父表的主鍵把父元素與子元素連接起來。
從數據庫模型到DTD的轉換相對容易一些,分為三步: 對一個表,創建一個元素;對表中的每一列,創建一個屬性或是一個只有PCDATA內容的子元素;根據表中的每一個主鍵/ 外鍵關系,創建該表元素的子元素。
XML 數據模型與數據之間的轉換可以分為模板驅動和模型驅動兩種形式:
基于模板驅動,只能應用于關系數據庫與XML文檔之間傳遞數據。它需要在一個模板中嵌入帶參數的SQL命令,并用數據傳輸如中間件等實體軟件進行處理;
基于模型驅動的轉換是當把數據從數據庫傳送到XML 文檔或把數據從XML文檔傳送到數據庫時,用一個具體模型實現轉換,而不僅僅依賴內嵌的SQL命令。關系數據庫的理論依據是關系模型;面向對象的理論依據是對象模型;而XML的文檔的依據是XML Schemas或DTD。
總體說來,通信層的專用接口模塊是從各數據源的數據到一個XML數據模型的雙向轉換。
集成層為用戶提供針對特定集成應用而設計的虛擬集成視圖。虛擬集成視圖是一個虛擬關系(或虛擬對象類)的集合。采用XML 作為集成系統的公共模型,用一個DTD描述集成層的一個虛擬對象類,一個元素對應虛擬對象類的一個屬性,所有虛擬對象類的DTD組成集成系統的集成模式。根據不同用戶的不同需求,可定義不同的XSL樣式表,屏蔽部分對象或對象屬性,改變對象顯示形式,提供不同的用戶視圖。
海量異構數據集成技術實現了對各個數據源的集成存取,即將用戶對集成視圖的存取轉換成對異構數據源的操作,具體有兩種實現方法,即GAV(GlobaL As View)和LAV(Local As View)。GAV方法要求為集成視圖中的每一個虛擬關系(或虛擬對象類)R寫出一個查詢,說明如何從信息源得到R 的元組(或對象)。
這種方法的特點是查詢轉換簡單,但增加新數據源時比較繁瑣。LAV 方法則相反,它要求為每一個數據源S 給出一個針對集成視圖的查詢,說明集成視圖中的哪些元組(或對象)可在S中找到。它的優點是易于插入新數據源,但查詢轉換相對復雜。
海量異構數據集成技術和系統為集成模式中的每一個虛擬對象類創建一個能動態生成XML 文檔的安全運維管理平臺腳本文件,說明如何從信息源得到該虛擬對象類的對象,如何將源數據轉換成集成數據。
當用戶要訪問集成數據時,系統按下列步驟進行查詢轉換: 1.根據用戶提出的查詢條件,生成一棵查詢樹;2.將諸如選擇、投影操作等盡量推向葉節點,即數據源;3.將對各數據源的操作追加到相應的文本文件中;4.調用文本文件生成來自多數據源的包含用戶所需數據的XML文檔;5.選擇合適的XSL,應用于所生成的XML 文檔。
【編輯推薦】
